NTT Application Security最新版《应用安全现状》（AppSec Stats Flash）报告指出，严重漏洞的修复率正在下降，而平均修复时间则在上升。

　　该报告每月推出一期，涵盖暴露窗口期、漏洞类型和修复时间。

　　最新一期报告发现，过去六个月来，应用的暴露窗口期有所延长，同时，最常见的五大漏洞类型保持不变。编撰报告的研究人员认为，出现这种情况是“解决这些众所周知漏洞的系统性失败。”

　　NTT Application Security研究人员表示，漏洞修复耗时减少了3天，从205天降到了202天。平均修复时间是202天，比年初的197天有所增长。高严重性漏洞的平均修复时间则是从年初的194天暴涨到了6月低的246天。

　　总体漏洞修复率也下降了，其中关键漏洞修复率从年初的54%，下降到了6月底的48%。高严重性漏洞的修复率从年初的50%，下降到了6月底的38%。

　　报告指出，很多这种漏洞都很“平淡无奇”，利用起来没什么技术含量。 

　　HTTP响应拆分就是逐渐兴起的一个问题，报告作者建议企业更加重视升级底层开源组件。利用该漏洞，攻击者可“通过诱骗目标用户点击恶意链接或访问恶意网站来篡改网站面向用户的内容。”

　　65%的公共事业部门应用一年中至少出现一个可利用的严重漏洞，为所有行业之冠。 

　　教育、制造和零售与批发贸易应用则在这个月见证了暴露窗口期的延长。教育、零售业和制造行业的暴露窗口期延长了4%，医疗行业是2%。

　　研究人员写道：“批发贸易行业的暴露窗口期延长了15%，而公共事业自今年年初以来延长了11%。” 

　　“制造业、公共管理和医疗行业均见证了相对暴露窗口期的缩短，这可能是因为经历针对性攻击活动和/或新监管规定实施之后更加重视安全了。”

　　有两个行业改善了暴露窗口期。金融和保险行业录得2%的暴露窗口期缩减。 

　　“数据表明，教育、零售、制造、医疗、公共事业和公共管理等行业继续比金融和保险等其他行业更容易遭到攻击。” 

　　“在过去三个月的滚动窗口中确定的前五大漏洞类别保持不变：信息泄露、会话过期处理不充分、跨站脚本、传输层保护不足和内容欺骗。” 

　　《应用安全现状》报告：点击查看

参考阅读

【调查】修复关键网络安全漏洞的平均时间为205天